WordPress ist einer der beliebtesten Website-Builder der Welt, da es leistungsstarke Funktionen und eine sichere Codebasis bietet. Das schützt WordPress oder andere Software jedoch nicht vor bösartigen DDoS-Angriffen, die im Internet weit verbreitet sind.
DDoS-Angriffe können Websites verlangsamen und schließlich für Benutzer unzugänglich machen. Diese Angriffe können sowohl gegen kleine als auch gegen große Websites gerichtet sein.
Jetzt fragen Sie sich vielleicht, wie eine kleine Unternehmenswebsite mit WordPress solche DDoS-Angriffe mit begrenzten Ressourcen verhindern kann?
In dieser Anleitung zeigen wir Ihnen, wie Sie einen DDoS-Angriff auf WordPress effektiv stoppen und verhindern können. Unser Ziel ist es, Ihnen zu helfen, die Sicherheit Ihrer Website gegen einen DDoS-Angriff wie ein absoluter Profi zu verwalten.
Was ist ein DDoS-Angriff?
DDoS-Angriff, kurz für Distributed Denial of Service Attack, ist eine Art Cyberangriff, bei dem kompromittierte Computer und Geräte verwendet werden, um Daten von einem WordPress-Hosting-Server zu senden oder anzufordern. Der Zweck dieser Anforderungen besteht darin, den Zielserver zu verlangsamen und schließlich zum Absturz zu bringen.
DDoS-Angriffe sind eine Weiterentwicklung von DoS-Angriffen (Denial of Service). Im Gegensatz zu einem DoS-Angriff nutzen sie mehrere kompromittierte Maschinen oder Server, die über verschiedene Regionen verteilt sind.
Diese kompromittierten Maschinen bilden ein Netzwerk, das manchmal als Botnet bezeichnet wird. Jeder betroffene Computer fungiert als Bot und startet Angriffe auf das Zielsystem oder den Server.
Dadurch können sie eine Weile unbemerkt bleiben und maximalen Schaden anrichten, bevor sie blockiert werden.
Selbst die größten Internetunternehmen sind anfällig für DDoS-Angriffe.
Im Jahr 2018 wurde GitHub, eine beliebte Code-Hosting-Plattform, Zeuge eines massiven DDoS-Angriffs, der 1,3 Terabyte pro Sekunde Datenverkehr an ihre Server schickte.
Vielleicht erinnern Sie sich auch an den berüchtigten Angriff von 2016 auf DYN (einen DNS-Dienstanbieter). Dieser Angriff fand weltweite Berichterstattung in den Medien, da er viele beliebte Websites wie Amazon, Netflix, PayPal, Visa, AirBnB, The New York Times, Reddit und Tausende anderer Websites betraf.
Warum passieren DDoS-Angriffe?
Es gibt mehrere Motivationen hinter DDoS-Angriffen. Nachfolgend sind einige gängige aufgeführt:
- Technisch versierte Leute, die sich einfach langweilen und es abenteuerlustig finden
- Menschen und Gruppen, die versuchen, einen politischen Standpunkt zu vertreten
- Gruppen, die auf Websites und Dienste eines bestimmten Landes oder einer bestimmten Region ausgerichtet sind
- Gezielte Angriffe auf ein bestimmtes Unternehmen oder einen Dienstanbieter, um ihnen Geld zuzufügen
- Um Lösegeld zu erpressen und zu kassieren
Was ist der Unterschied zwischen einem Brute-Force-Angriff und einem DDoS-Angriff?
Brute-Force-Angriffe versuchen normalerweise, in ein System einzudringen, indem sie Passwörter erraten oder zufällige Kombinationen ausprobieren, um unbefugten Zugriff auf ein System zu erhalten.
DDoS-Angriffe werden lediglich verwendet, um das anvisierte System einfach zum Absturz zu bringen, wodurch es unzugänglich wird oder es verlangsamt.
Weitere Informationen finden Sie in unserer Anleitung zum Blockieren von Brute-Force-Angriffen auf WordPress mit Schritt-für-Schritt-Anleitungen.
Welche Schäden können durch eine DDoS-Attacke entstehen?
DDoS-Angriffe können eine Website unzugänglich machen oder die Leistung beeinträchtigen. Dies kann zu einer schlechten Benutzererfahrung und Geschäftsverlust führen, und die Kosten für die Abwehr des Angriffs können Tausende von Dollar betragen.
Hier ist eine Aufschlüsselung dieser Kosten:
- Geschäftsverlust durch Unzugänglichkeit der Website
- Kosten für den Kundensupport zur Beantwortung von Fragen im Zusammenhang mit Serviceunterbrechungen
- Kosten für die Abwehr von Angriffen durch die Einstellung von Sicherheitsdiensten oder Support
- Der größte Kostenfaktor ist die schlechte Benutzererfahrung und der Markenruf
So stoppen und verhindern Sie DDoS-Angriffe auf WordPress
DDoS-Angriffe können geschickt getarnt und schwer zu bekämpfen sein. Mit einigen grundlegenden Best Practices für die Sicherheit können Sie jedoch DDoS-Angriffe auf Ihre WordPress-Website verhindern und einfach stoppen.
Hier sind die Schritte, die Sie unternehmen müssen, um DDoS-Angriffe auf Ihre WordPress-Site zu verhindern und zu stoppen.
Vertikale DDoS-/Brute-Force-Angriffe entfernen
Das Beste an WordPress ist, dass es sehr flexibel ist. WordPress ermöglicht die Integration von Plugins und Tools von Drittanbietern in Ihre Website und das Hinzufügen neuer Funktionen.
Dafür stellt WordPress Programmierern mehrere APIs zur Verfügung. Diese APIs sind Methoden, mit denen WordPress-Plugins und -Dienste von Drittanbietern mit WordPress interagieren können.
Einige dieser APIs können jedoch auch während eines DDoS-Angriffs ausgenutzt werden, indem eine Menge Anfragen gesendet werden. Sie können sie sicher deaktivieren, um diese Anforderungen zu reduzieren.
Deaktivieren Sie XML-RPC in WordPress
XML-RPC ermöglicht es Apps von Drittanbietern, mit Ihrer WordPress-Website zu interagieren. Sie benötigen beispielsweise XML-RPC, um die WordPress-App auf Ihrem mobilen Gerät zu verwenden.
Wenn Sie wie die überwiegende Mehrheit der Benutzer die mobile App nicht verwenden, können Sie XML-RPC deaktivieren, indem Sie einfach den folgenden Code zur .htaccess-Datei Ihrer Website hinzufügen.
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny,allow deny from all </Files>
Alternative Methoden finden Sie in unserer Anleitung zum einfachen Deaktivieren von XML-RPC in WordPress.
Deaktivieren Sie die REST-API in WordPress
Die WordPress JSON REST API ermöglicht Plugins und Tools, auf WordPress-Daten zuzugreifen, Inhalte zu aktualisieren und/oder sogar zu löschen. So können Sie die REST-API in WordPress deaktivieren.
Als erstes müssen Sie die installieren und aktivieren Deaktivieren Sie die WP Rest API Plugin. Weitere Informationen finden Sie in unserer Schritt-für-Schritt-Anleitung zur Installation eines WordPress-Plugins.
Das Plugin funktioniert sofort und deaktiviert einfach die REST-API für alle nicht angemeldeten Benutzer.
WAF (Website-Application-Firewall) aktivieren
Das Deaktivieren von Angriffsvektoren wie REST API und XML-RPC bietet begrenzten Schutz vor DDoS-Angriffen. Ihre Website ist immer noch anfällig für normale HTTP-Anfragen.
Während Sie einen kleinen DOS-Angriff abschwächen können, indem Sie versuchen, die fehlerhaften Computer-IPs abzufangen und sie manuell zu blockieren, ist dieser Ansatz bei einem großen DDoS-Angriff nicht sehr effektiv.
Der einfachste Weg, verdächtige Anfragen zu blockieren, besteht darin, eine Firewall für eine Website-Anwendung zu aktivieren.
Eine Website-Anwendungs-Firewall fungiert als Proxy zwischen Ihrer Website und dem gesamten eingehenden Datenverkehr. Es verwendet einen intelligenten Algorithmus, um alle verdächtigen Anfragen abzufangen und zu blockieren, bevor sie Ihren Website-Server erreichen.
Wir empfehlen die Verwendung von Sucuri, da es das beste WordPress-Sicherheits-Plugin und die beste Website-Firewall ist. Es läuft auf DNS-Ebene, was bedeutet, dass es einen DDoS-Angriff abfangen kann, bevor es eine Anfrage an Ihre Website senden kann.
Die Preise für Sucuri beginnen bei 20 USD pro Monat (jährlich bezahlt).
Wir verwenden Sucuri auf Themelocal. In unserer Fallstudie erfahren Sie, wie sie Hunderttausende von Angriffen auf unsere Website blockieren.
Alternativ können Sie auch Wolkenflare. Der kostenlose Dienst von Cloudflare bietet jedoch nur begrenzten DDoS-Schutz. Sie müssen sich mindestens für ihren Businessplan für Layer-7-DDoS-Schutz anmelden, der etwa 200 US-Dollar pro Monat kostet.
In unserem Artikel über Sucuri vs. Cloudflare finden Sie einen detaillierten direkten Vergleich.
Notiz: Website Application Firewalls (WAFs), die auf Anwendungsebene ausgeführt werden, sind während eines DDoS-Angriffs weniger effektiv. Sie blockieren den Datenverkehr, sobald er Ihren Webserver erreicht hat, sodass er sich immer noch auf die Gesamtleistung Ihrer Website auswirkt.
Herausfinden, ob es sich um Brute-Force- oder DDoS-Angriffe handelt
Sowohl Brute-Force- als auch DDoS-Angriffe beanspruchen Serverressourcen intensiv, sodass sich ihre Symptome sehr ähnlich sehen. Ihre Website wird langsamer und kann abstürzen.
Sie können leicht herausfinden, ob es sich um einen Brute-Force-Angriff oder einen DDoS-Angriff handelt, indem Sie sich einfach die Anmeldeberichte des Sucuri-Plugins ansehen.
Einfach kostenlos installieren und aktivieren Sucuri Plugin und dann gehe zu Sucuri Security » Letzte Anmeldungen Seite.
Wenn Sie eine große Anzahl zufälliger Anmeldeanfragen sehen, bedeutet dies, dass Ihr wp-admin einem Brute-Force-Angriff ausgesetzt ist. Um dies zu mildern, können Sie unseren Leitfaden zum Blockieren von Brute-Force-Angriffen in WordPress lesen.
Dinge, die während eines DDoS-Angriffs zu tun sind
DDoS-Angriffe können selbst dann auftreten, wenn Sie eine Webanwendungs-Firewall und andere Schutzmaßnahmen haben. Unternehmen wie CloudFlare und Sucuri befassen sich regelmäßig mit diesen Angriffen, und meistens werden Sie nie davon hören, da sie sie leicht abwehren können.
In einigen Fällen können Sie jedoch, wenn diese Angriffe groß sind, dennoch beeinträchtigt werden. In diesem Fall ist es am besten, darauf vorbereitet zu sein, die Probleme zu mindern, die während und nach dem DDoS-Angriff auftreten können.
Im Folgenden sind einige Dinge aufgeführt, die Sie tun können, um die Auswirkungen eines DDoS-Angriffs zu minimieren.
1. Benachrichtigen Sie Ihre Teammitglieder
Wenn Sie ein Team haben, müssen Sie die Kollegen über das Problem informieren. Dies hilft ihnen, sich auf Kundensupportanfragen vorzubereiten, nach möglichen Problemen Ausschau zu halten und während oder nach dem Angriff zu helfen.
2. Informieren Sie die Kunden über die Unannehmlichkeiten
Ein DDoS-Angriff kann die Benutzererfahrung auf Ihrer Website beeinträchtigen. Wenn Sie einen WooCommerce-Shop betreiben, können Ihre Kunden möglicherweise keine Bestellung aufgeben oder sich nicht bei ihrem Konto anmelden.
Sie können über Ihre Social-Media-Konten mitteilen, dass Ihre Website technische Schwierigkeiten hat und sich bald alles wieder normalisiert.
Wenn der Angriff groß ist, können Sie Ihren E-Mail-Marketing-Service auch verwenden, um mit Kunden zu kommunizieren und sie aufzufordern, Ihren Social-Media-Updates zu folgen.
Wenn Sie VIP-Kunden haben, möchten Sie möglicherweise Ihren geschäftlichen Telefondienst verwenden, um einzelne Anrufe zu tätigen und ihnen mitzuteilen, wie Sie an der Wiederherstellung der Dienste arbeiten.
Die Kommunikation in diesen schwierigen Zeiten macht einen großen Unterschied, um den Ruf Ihrer Marke zu stärken.
3. Kontaktieren Sie den Hosting- und Sicherheitssupport
Nehmen Sie Kontakt mit Ihrem WordPress-Hosting-Provider auf. Der Angriff, den Sie möglicherweise erleben, könnte Teil eines größeren Angriffs sein, der auf ihre Systeme abzielt. In diesem Fall können sie Ihnen die neuesten Informationen zur Situation bereitstellen.
Wenden Sie sich an Ihren Firewall-Dienst und teilen Sie ihm mit, dass Ihre Website einem DDoS-Angriff ausgesetzt ist. Sie können die Situation möglicherweise noch schneller entschärfen und Ihnen mehr Informationen geben.
Bei Firewall-Anbietern wie Sucuri können Sie Ihre Einstellungen auch auf den paranoiden Modus einstellen, der dazu beiträgt, viele Anfragen zu blockieren und Ihre Website für normale Benutzer zugänglich zu machen.
Halten Sie Ihre WordPress-Website sicher
WordPress ist out of the box ziemlich sicher. Als weltweit beliebtester Website-Builder wird er jedoch häufig von Hackern angegriffen.
Glücklicherweise gibt es viele Best Practices für die Sicherheit, die Sie auf Ihrer Website anwenden können, um sie noch sicherer zu machen.
Wir haben einen kompletten Schritt für Schritt WordPress Sicherheitsleitfaden für Anfänger zusammengestellt. Es führt Sie durch die besten WordPress-Sicherheitseinstellungen, um Ihre Website und ihre Daten vor gängigen Bedrohungen zu schützen.
Wir hoffen, dass dieser Artikel Ihnen geholfen hat, einen DDoS-Angriff auf WordPress zu blockieren und zu verhindern. Vielleicht möchten Sie auch unseren Leitfaden zu den häufigsten WordPress-Fehlern und deren Behebung lesen.